После тестирования компьютера программой AVZ обнаружил программу-перехватчик + периодически выбивает ошибку svchost.exe - ошибка приложения.
Заранее благодарю за помощь!
После тестирования компьютера программой AVZ обнаружил программу-перехватчик + периодически выбивает ошибку svchost.exe - ошибка приложения.
Заранее благодарю за помощь!
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-8993852586-7492720604-640548022-6693\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\quami.exe',''); DeleteService('nuzee3ea5eaaeaeo'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touquyg.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touquyg.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\quami.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wequam'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wequam'); DeleteFile('C:\RECYCLER\S-1-5-21-8993852586-7492720604-640548022-6693\yv8g67.exe'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2732846076-3158358968-296103314-4193\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\juzjf.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\juzjf.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2732846076-3158358968-296103314-4193\yv8g67.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
Залил файл по ссылке(Файл сохранён как 110130_003522_quarantine_4d44881a6a22f.zip )
Сделал скан ГМЕР
Сделайте лог http://support.kaspersky.ru/faq/?qid=208639606
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по tnbbuwob и выберите "Turn Run Off", потом подтвердите перезагрузку.
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\tnbbuwob.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\tnbbuwob.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('tnbbuwob'); BC_DeleteSvcReg('tnbbuwob'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал...
скинул карантин по ссылке вверху(110130_022916_quarantine_4d44a2cca2382.zip) ...
Придраться не к чему. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пока вроде бы ничего не замечал плохого, но есть один вопрос на счёт таких вот строчек в авз:
Также tdsskiller ругаетcя на файл system32/Drivers/sptd.sysКод:Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 8055A220 KiST = 804E26A8 (284) Функция NtCreateKey (29) перехвачена (80572EAD->F83C80E0), перехватчик sphj.sys Функция NtEnumerateKey (47) перехвачена (805735B4->F83E6CA2), перехватчик sphj.sys Функция NtEnumerateValueKey (49) перехвачена (8059066D->F83E7030), перехватчик sphj.sys Функция NtOpenKey (77) перехвачена (80568EF9->F83C80C0), перехватчик sphj.sys Функция NtQueryKey (A0) перехвачена (805732BD->F83E7108), перехватчик sphj.sys Функция NtQueryValueKey (B1) перехвачена (8056A391->F83E6F88), перехватчик sphj.sys Функция NtSetValueKey (F7) перехвачена (80579A53->F83E719A), перехватчик sphj.sys Проверено функций: 284, перехвачено: 7, восстановлено: 0 \FileSystem\ntfs[IRP_MJ_CREATE] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823701F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 823701F8 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CREATE] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_CLOSE] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_WRITE] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_EA] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 81FBE500 -> перехватчик не определен \FileSystem\FastFat[IRP_MJ_PNP] = 81FBE500 -> перехватчик не определен Проверка завершена
Я пока действие пропустил... или стоило его удалить. Слышал вродебы, если его удалить, то комп после ребута накроется.
Последний раз редактировалось AlexK; 30.01.2011 в 12:23.
sptd.sys - драйвер эмулятора CD, модули sp??.sys тоже его.
Ничего плохого у вас не видно.
I am not young enough to know everything...
Ну, тогда спасибо всем за помощь ребята))
Всем выражаю свою глубокую благодарность за помощь в решении проблемы)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\application data\\microsoft\\quami.exe - Trojan-Dropper.Win32.VB.atlx ( DrWEB: Trojan.MulDrop1.57199, BitDefender: Trojan.Generic.6525295, NOD32: Win32/TrojanDownloader.Agent.QNN trojan, AVAST4: Win32:VBCrypt-YI [Trj] )
- c:\\documents and settings\\администратор\\application data\\juzjf.exe - Trojan-Dropper.Win32.VB.atnd ( DrWEB: Trojan.Inject.20212, BitDefender: Trojan.Generic.6888593, NOD32: Win32/Bflient.K worm, AVAST4: Win32:VBCrypt-YI [Trj] )
- c:\\documents and settings\\администратор\\application data\\nsvb.exe - Trojan-GameThief.Win32.OnLineGames.xnja ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.111129, AVAST4: Win32:VBCrypt-YI [Trj] )
- c:\\recycler\\s-1-5-21-2732846076-3158358968-296103314-4193\\yv8g67.exe - P2P-Worm.Win32.Palevo.bqre ( DrWEB: Trojan.Inject.20892, BitDefender: Worm.Generic.354257, AVAST4: Win32:VB-YLY [Trj] )
- c:\\recycler\\s-1-5-21-8993852586-7492720604-640548022-6693\\yv8g67.exe - P2P-Worm.Win32.Palevo.bqre ( DrWEB: Trojan.Inject.20892, BitDefender: Worm.Generic.354257, AVAST4: Win32:VB-YLY [Trj] )
Уважаемый(ая) AlexK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.